A japán piacokon széles körben használt Digital Knowledge KnowledgeDeliver LMS-platformban egy súlyos sérülékenységet (CVE-2026-5426) használtak ki bizonyos támadók, még a javítás megjelenése előtt. A hiba oka hardcoded ASP.NET machine key-ek használata volt, amelyek hitelesítés nélküli távoli kódfuttatás végrehajtását tehették lehetővé, ViewState deszerializációs támadáson keresztül. A probléma különösen veszélyessé vált amiatt, hogy a gyártó által biztosított szabványos web.config fájl ugyanazokat a kulcsokat tartalmazta minden telepítésben, így egyetlen kiszivárgott kulcs több rendszer kompromittálását is eredményezhette.

A Google Mandiant és a Google Threat Intelligence Group elemzése szerint a támadók a sérülékenység kihasználása után
a Godzilla (BLUEBEAM) webshellt telepítették az érintett szerverekre, amely teljes körű távoli hozzáférést biztosított számukra. A kompromittált rendszereken a támadók módosították a webszerver jogosultságait, majd rosszindulatú JavaScript-kódot injektáltak az LMS egyik fájljába. Ez hamis biztonsági figyelmeztetést jelenített meg a felhasználóknak, amely egy állítólagos „security authentication plugin” telepítésére próbálta rávenni őket.

A hamis telepítő valójában Cobalt Strike Beacon kártevőt juttatott az áldozatok rendszereire, lehetővé téve a további hálózati mozgást és a hosszú távú hozzáférés fenntartását.
A kutatók szerint a támadók célzott módon készítették elő a payloadokat, mivel azok titkosítási kulcsaiban az érintett szervezetek nevei is szerepeltek. Ez alapján ismét megmutatkozik, hogy a megosztott vagy hardcoded titkos kulcsok alkalmazása súlyos biztonsági kockázatot jelenthet vállalati környezetben, különösen az internet felől elérhető rendszerek esetében.